前几天，一个存在于Linux系统内核中长达9年的高风险漏洞CVE-2026-31431被披露，由安全厂商Theori公开，该漏洞的严重性评分为7.8分，被命名为Copy Fail，并专门设立网站说明问题的成因与影响范围，同时提供概念验证程序，敦促用户尽快应对这一紧迫威胁。根据安全厂商Sysdig的整理，受影响的内核版本包括：4.14至7.0-rc版、6.18.22之前的6.18.x版、6.19.12之前的6.19.x版，也就是说，已修复的版本为7.0版、6.19.12版、6.18.22版。

Theori表示，Copy Fail是一个逻辑漏洞，存在于Linux内核的密码学模块authencesn中，无需触发竞态条件的时间窗口，也无需内核层面的偏移，更不需要网络访问、内核调试功能或预先安装的指令，即可在Linux系统上实现本地权限提升（Local Privilege Escalation，LPE）——允许未授权的本地用户触发一个长度为4字节的可控数据写入操作，目标是系统中任何可读文件的页缓存（Page Cache）。通过一段长度为732字节的Python脚本，攻击者可修改具有setuid权限位的二进制可执行文件（如/usr/bin/passwd或/usr/bin/su），从而在Linux系统中获取root权限。

值得注意的是，这一发现得益于AI辅助。该发现源于Theori研究员Taeyang Lee的一项研究，他发现splice()函数在将页缓存传递给crypto/子系统时，scatterlist页的来源可能存在一个未被深入调查的漏洞类别。随后，Theori使用其自主研发的AI安全工具Xint Code，仅用约1小时便完成了对整个crypto/子系统的规模性审计，最终确认Copy Fail是此次分析中发现的最严重漏洞。

该漏洞影响范围极为广泛，涵盖2017年以后发布的所有Linux发行版，因为它们默认都启用了Kernel Crypto API（用户空间访问接口为AF_ALG）。目前Theori已展示可在以下四个版本上利用该漏洞：Ubuntu 24.04 LTS、Amazon Linux 2023、RHEL 10.1、SUSE 16。

此外，多个Linux发行版均已发布安全公告，包括：Amazon Linux、Arch Linux、CloudLinux、Debian、Gentoo、Red Hat Enterprise Linux、SUSE、Ubuntu。